Di destpêka sedsala 21-an de, çavkaniyek wekî navnîşanên IPv4 li ber westandinê ye. Dîsa di sala 2011-an de, IANA pênc /8 blokên paşîn ên cîhê navnîşana xwe ji qeydkarên înternetê yên herêmî re veqetand, û jixwe di sala 2017-an de navnîşanên wan jî qediyan. Bersiva kêmbûna felaket a navnîşanên IPv4 ne tenê derketina protokola IPv6 bû, lê di heman demê de teknolojiya SNI jî bû, ku ev gengaz kir ku meriv hejmareke mezin a malperan li ser yek navnîşana IPv4 mêvandar bike. Esasê SNI ev e ku ev dirêjkirin destûrê dide xerîdar, di dema pêvajoya destanan de, ku ji serverê re navê malpera ku ew dixwaze pê ve girêbide bibêje. Ev rê dide server ku gelek sertîfîkayan hilîne, ku tê vê wateyê ku pir domain dikarin li ser navnîşek IP-ya yekane bixebitin. Teknolojiya SNI bi taybetî di nav pêşkêşkerên karsaziya SaaS de populer bûye, yên ku şansê wan hene ku hejmareke hema bêsînor domainan mêvandar bikin bêyî ku bala xwe bidin navnîşanên IPv4 ku ji bo vê yekê hewce ne. Ka em fêr bibin ka hûn çawa dikarin piştgiriya SNI-yê di Zimbra Collaboration Suite Edition Open-Source de bicîh bikin.
SNI di hemî guhertoyên heyî û piştgirî yên Zimbra OSE de dixebite. Ger we Zimbra Open-Source li ser binesaziyek pir-pêşkêşker dimeşîne, hûn ê hewce bikin ku hemî gavên jêrîn li ser girêkek bi servera Zimbra Proxy hatî saz kirin pêk bînin. Wekî din, hûn ê ji bo her yek ji domainên ku hûn dixwazin li navnîşana IPv4-ya xwe mêvandar bikin, hewceyê cotên sertîfîka + mifteyê, û her weha zincîrên sertîfîkayên pêbawer ên ji CA-ya xwe bikin. Ji kerema xwe not bikin ku sedema pirraniya xeletiyan dema sazkirina SNI di Zimbra OSE de pelên bi sertîfîkayên ne rast e. Ji ber vê yekê, em ji we re şîret dikin ku berî ku rasterast wan saz bikin her tiştî bi baldarî kontrol bikin.
Berî her tiştî, ji bo ku SNI bi gelemperî bixebite, hûn hewce ne ku emrê têkevin zmprov mcf zimbraReverseProxySNIEnabled RAST li ser girêka proxy Zimbra, û dûv re karûbarê Proxy bi karanîna fermanê ji nû ve bidin destpêkirin zmproxyctl ji nû ve dest pê bike.
Em ê bi afirandina navek domainê dest pê bikin. Mînakî, em ê domainê bigirin companyka.ru û, piştî ku domain jixwe hate afirandin, em ê li ser navê mêvandarê virtual Zimbra û navnîşana IP-ya virtual biryar bidin. Ji kerema xwe not bikin ku navê mêvandarê virtual yê Zimbra divê bi navê ku bikarhêner divê di gerokê de bikeve da ku bigihîje domainê, û di heman demê de bi navê ku di sertîfîkayê de hatî destnîşan kirin re hevber bike. Mînakî, em Zimbra wekî navê mêvandarê virtual bigirin mail.company.ru, û wekî navnîşana IPv4 virtual em navnîşan bikar tînin 1.2.3.4.
Piştî vê yekê, tenê fermanê têkevin zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAaddress 1.2.3.4ku mêvandarê virtual Zimbra bi navnîşanek IP-ya virtual ve girêde. Ji kerema xwe bala xwe bidin ku ger server li pişt NAT an dîwarek agir e, divê hûn pê ewle bin ku hemî daxwazên domainê diçin navnîşana IP-ya derveyî ya ku pê re têkildar e, û ne navnîşana wê ya li ser tora herêmî.
Piştî ku her tişt hate kirin, ya ku dimîne ev e ku hûn sertîfîkayên domainê ji bo sazkirinê kontrol bikin û amade bikin, û dûv re wan saz bikin.
Ger danasîna sertîfîkaya domainê rast hat qedandin, divê hûn sê pelên bi sertîfîkayan hebin: du ji wan zincîreyên sertîfîkayên ji desthilatdariya weya pejirandinê ne, û yek jî sertîfîkayek rasterast ji bo domainê ye. Wekî din, pêdivî ye ku pelek bi mifteya ku we ji bo bidestxistina sertîfîkayê bikar aniye hebe. Peldankek cuda biafirînin /tmp/company.ru û hemû pelên heyî yên bi kilît û sertîfîkayan li wir bi cih bikin. Encama dawî divê tiştek mîna vê be:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPiştî vê yekê, em ê bi karanîna fermanê zincîreyên sertîfîkayê li pelek yek bikin pisîk company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt û pê ewle bine ku her tişt bi sertîfîkayan bi karanîna fermanê re li rê ye /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Piştî ku verastkirina sertîfîkayan û mifteyê serketî bû, hûn dikarin dest bi sazkirina wan bikin.
Ji bo destpêkirina sazkirinê, em ê pêşî sertîfîkaya domainê û zincîrên pêbawer ên ji rayedarên pejirandinê di yek pelê de bidin hev. Ev jî dikare bi karanîna yek fermanek mîna were kirin cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Piştî vê yekê, hûn hewce ne ku fermanê bimeşînin da ku hûn hemî sertîfîkayan û mifteya LDAP-ê binivîsin: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyû dûv re bi karanîna fermanê sertîfîkayan saz bikin /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Piştî sazkirinê, sertîfîka û mifteya domain.ru dê di peldankê de werin hilanîn /opt/zimbra/conf/domaincerts/company.ru.
Bi dubarekirina van gavan bi karanîna navên domainên cihê lê heman navnîşana IP-yê, mimkun e ku meriv çend sed domainan li ser navnîşek IPv4 yekane mêvandar bike. Di vê rewşê de, hûn dikarin sertîfîkayên ji cûrbecûr navendên derxistinê bêyî pirsgirêk bikar bînin. Hûn dikarin rastbûna hemî kiryarên ku di her gerokê de têne kirin kontrol bikin, li wir divê her navek mêvandarê virtual sertîfîkaya xweya SSL-ê nîşan bide.
Ji bo hemî pirsên têkildarî Zextras Suite, hûn dikarin bi e-nameyê bi Nûnera Zextras Ekaterina Triandafilidi re têkilî daynin. [email parastî]
Source: www.habr.com